Đồ án Nghiên cứu bảo đảm an toàn thông tin bằng kiểm soát truy nhập

ổi độ dài và những thuộc tính khác của xâu kí tự được tạo ra. Ví dụ: Giả sử người dùng được cung cấp xâu “t1h” và qui tắc là các kí tự “t”, “1”, “h” phải xuất hiện trong mật khẩu sẽ được tạo ra theo đúng trật tự đã cho. Người dùng có thể tạo mật khẩu: the1997hpu10, trong1hiep5, Khi đó mật khẩu mà người dùng tạo nên, thường có tính chất gợi nhớ đối với họ, vì vậy họ có thể nhớ được. Đồng thời, nó cũng loại bỏ được những mật khẩu tồi. 3) Các tấn công dò tìm mật khẩu. a) Tấn công toàn diện. Trong tấn công toàn diện, người tấn công thử mọi khả năng mà mật khẩu có thể được người dùng sử dụng. Số mật khẩu được tạo tuỳ thuộc vào hệ thống nhất định. Rõ ràng việc tấn công toàn diện gặp khó khăn khi mật khẩu có độ dài lớn và theo đúng tiêu chuẩn chọn mật khẩu. Tuy nhiên, để tìm mật khẩu cụ thể không cần thử toàn bộ mật khẩu có thể. Do mật khẩu phải nhớ được nên người dùng thường chọn mật khẩu đơn giản. Để đơn giản mật khẩu sẽ không dài. Đối với người dùng, mật khẩu thường liên quan đến các thông tin cá nhân nên những mật khẩu có thể không nhiều lắm. Việc tìm hiểu các thông tin cá nhân của người dùng cụ thể sẽ tạo điều kiện cho việc dò tìm đạt được xác suất thành công cao. Ngoài ra còn có thể dò tìm mật khẩu dựa trên thói quen sử dụng bàn phím với các phím ở các vị trí đặc biệt như zqpm, aqlp, . b) Tìm file mật khẩu của hệ thống. Cách dò tìm như trên dựa theo việc suy đoán các khả năng có thể. Do các mật khẩu được lưu trên máy, nên việc tìm các file này để đọc là hướng hiệu quả. Các file chứa mật khẩu, nếu không được mã hoá, thì việc đọc chúng là đơn giản. Nhưng thường chúng được mã hoá, file đọc được là bản mã. Như vậy có thể dùng các thuật toán mã hoá để tìm ra bản rõ tương ứng. Tương tự, có thể tìm các ghi chép lưu mật khẩu của người dùng tại nơi thường truy nhập. c) Các biện pháp dò tìm thông minh. Sử dụng các virus dạng “Trojan Horse” để lấy cắp mật khẩu. Các virus này có thể ghi lại mật khẩu khi khởi động máy hoặc làm giả thủ tục đăng nhập, đánh lừa người dùng để lấy cắp mật khẩu, hoặc chứa từ điển để dò tìm mật khẩu. 4) Các biện pháp bảo vệ mật khẩu. a) Bảo vệ mật khẩu đối với người dùng. Người dùng cần tuân thủ các tiêu chuẩn lựa chọn mật khẩu; Không sử dụng các từ có trong từ điển; Không ghi lại mật khẩu (điều này khó thực hiện khi một người dùng có nhiều tài khoản trên máy, hoặc thẻ tín dụng cần phải nhớ mật khẩu truy nhập); Không tiết lộ mật khẩu; Thường xuyên thay đổi mật khẩu, ngay cả khi không có nghi ngờ rằng mật khẩu đã bị lộ. b) Mật khẩu dùng một lần. Là loại mật khẩu thay đổi mỗi lần sử dụng, thực chất đây là hệ thống xác định người dùng bằng hỏi đáp. Hàm cho từng người là cố định nhưng các tham số của mỗi lần xác nhận là khác nhau. Vì vậy câu trả lời của người dùng là khác nhau, đồng nghĩa với việc mật khẩu là khác nhau. c) Bảo vệ mật khẩu lưu trong máy. File mật khẩu lưu trong máy cần được mã hoá để chống lại việc truy nhập và lấy cắp thông tin về mật khẩu. Thường sử dụng hai cách để bảo vệ là mã hoá truyền thống và mã hoá một chiều. Mã hoá truyền thống: Toàn bộ file hoặc chỉ có trường mật khẩu được mã hoá. Khi nhận được mật khẩu của người dùng, thì mật khẩu lưu trữ được giải mã và so sánh. Theo cách này, tại thời điểm mật khẩu ở dạng rõ trong bộ nhớ, thì nó để lộ cho bất cứ ai được quyền truy nhập bộ nhớ. Mã hoá một chiều: Khắc phục được điểm yếu trên. Các mật khẩu đăng kí được mã hoá một chiều và lưu giữ, khi người dùng nhập mật khẩu nó sẽ được mã hoá và so sánh với bản mã lưu trữ. Thuật toán mã hoá đảm bảo không có hai bản rõ khác nhau cho cùng một bản mã. d) Muối mật khẩu. Có thể xảy ra trường hợp hai người khác nhau cùng dùng chung một mật khẩu. Khi đó trong bản mã hoá sẽ có hai bản mã như nhau và đó là kẽ hở để có thể dò tìm mật khẩu đã mã hoá. Để khắc phục tình trạng trên, HĐH Unix sử dụng một cơ chế mở rộng mật khẩu gọi là “muối” mật khẩu. Muối là một số 12 bit hình thành từ ngày hệ thống và số hiệu tiến trình được thêm vào mật khẩu Muối mật khẩu Mật khẩu Mã mật khẩu Muối Muối Bản mã mật khẩu Mã mật khẩu vào DES DES So sánh Mã mật khẩu Muối File mật khẩu Hình 2.1 Cơ chế muối mật khẩu. Cơ chế muối mật khẩu như sau: mật khẩu và muối được mã hoá, bản mã và muối tương ứng cùng được lưu trong file mật khẩu. Khi người dùng nhập mật khẩu, nó sẽ được mã hoá cùng với muối, kết quả được so sánh với bản mã đã lưu trữ. Ngoài ra cơ chế xác thực bằng mật khẩu không cho phép nhập sai mật khẩu quá 3 lần, để giảm khả năng dò tìm thông thường. 2.2.2 Kiểm soát truy nhập “tự động”. Để kiểm soát truy nhập “tự động”, hiện nay người ta dùng các giải pháp: + Tường lửa (Firewall). |+ Mạng riêng ảo (VPN). + Hạ tầng cơ sở khoá công khai (PKI). Tường lửa: Là thiết bị nhằm ngăn chặn sự truy nhập không hợp lệ từ ngoài vào mạng bên trong. Nó thường gồm cả phần cứng và phần mềm. Tường lửa thường được dùng theo phương thức ngăn chặn hay tạo các luật đối với các địa chỉ khác nhau. Tường lửa là tường chắn đầu tiên bảo vệ giữa mạng bên trong với mạng bên ngoài. Nó là công cụ cơ sở được dùng theo một chính sách an toàn, để ngăn ngừa truy nhập không được phép giữa các mạng. Mạng riêng ảo: Là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người dùng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người dùng ở xa. Hạ tầng cơ sở khoá công khai: Là hệ thống cung cấp và quản lí chứng chỉ số, thực hiện xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này gán cho mỗi người dùng trong hệ thống một cặp khoá công khai /khoá bí mật. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các địa điểm của người dùng. Khoá công khai thường được phân phối trong chứng chỉ khoá công khai. PKI có thể được định nghĩa như một hạ tầng cơ sở sử dụng công nghệ thông tin để cung cấp dịch vụ mã hoá khoá công khai và chữ ký số. Ngoài ra, PKI còn quản lý khoá và chứng chỉ được dùng trong hệ thống. 2.2 MỘT SỐ CHÍNH SÁCH TRUY CẬP. 2.2.1 Kiểm soát truy cập tuỳ quyền (Discretionary Access Control- DAC). Là chính sách truy cập mà chủ nhân thông tin hay tài nguyên tự quyết định xem ai là người được phép truy cập nó, và những quyền nào mà người đó được phép thi hành. Hai khái niệm trong truy cập tuỳ quyền là: sở hữu thông tin, quyền và phép truy cập thông tin. Sở hữu thông tin nghĩa là chính sách truy cập các đối tượng do chủ nhân tài nguyên quyết định. Quyền và phép truy cập là quyền khống chế những tài nguyên, do chủ nhân tài nguyên chỉ định cho mỗi người hoặc nhóm người. Kĩ thuật được dùng trong kiểm soát truy cập tùy quyền là danh sách kiểm soát truy cập (Access Control List- ACL): Định danh các quyền và phép được chỉ định cho 1 chủ thể hoặc 1 đối tượng. Đây là phương pháp linh hoạt để áp dụng DAC. 2.2.2 Kiểm soát truy cập trên cơ sở vai trò (Role Base Access Control - RBAC). Chỉ định tư cách nhóm người dùng dựa trên vai trò của tổ chức hoặc chức năng của vai trò. Chính sách này giúp tối giảm việc điều hành quản lí quyền và phép truy cập. Nó sẽ hạn chế người dùng bất hợp pháp truy cập hệ thống. Trong an ninh với hệ thống máy tính, kiểm soát truy cập trên cơ sở vai trò là một trong số các chính sách kiểm soát và đảm bảo quyền sử dụng cho người dùng. Trong nội bộ tổ chức, các vai trò (roles) được kiến tạo để đảm nhận các chức năng công việc khác nhau. Mỗi vai trò được gắn liền với một số quyền hạn cho phép nó thao tác một số hoạt động (permissions). Mỗi người dùng trong hệ thống được phân phối một vai trò riêng, và qua việc phân phối đó họ tiếp thu được một số quyền hạn, cho phép họ thi hành những chức năng cụ thể trong hệ thống. Do người dùng không được cấp phép một cách trực tiếp, họ chỉ tiếp thu được những quyền hạn thông qua vai trò của mình. Vì vậy, việc quản lí quyền hạn người dùng trở nên đơn giản, và chỉ cần chỉ định những vai trò thích hợp cho người dùng. Việc chỉ định các vai trò này đơn giản hoá những công việc thông thường như thêm một người dùng vào hệ thống. RBAC khác với các danh sách kiểm soát truy cập (ACLs) được dùng trong DAC, nó chỉ định các quyền hạn tới từng hoạt động cụ thể với ý nghĩa trong cơ quan tổ chức, thay vì tới các đối tượng dữ liệu hạ tầng. Ví dụ, ACL có thể cho phép hoặc từ chối quyền truy cập viết một tập tin hệ thống (system file), song nó không cho ta biết phương cách cụ thể để thay đổi tập tin đó. Trong hệ thống dùng RBAC, một thao tác có thể là việc một chương trình ứng dụng tài chính kiến tạo một giao dịch trong “tài khoản tín dụng” (credit account transaction). 2.2.3 Kiểm soát truy cập bắt buộc (Mandatory Access Control - MAC). Là chính sách truy cập do hệ thống quyết định, không phải do cá nhân sở hữu tài nguyên quyết định. Nó được sử dụng trong các hệ thống đa tầng, tức là những hệ thống xử lí các loại dữ liệu nhạy cảm như các thông tin được phân hạng về mức độ bảo mật trong chính phủ hay quân đội. + Nhãn hiệu nhạy cảm (sensitivity label): Chỉ định một nhãn hiệu cho mỗi chủ thể và mỗi đối tượng trong hệ thống. Nhãn hiệu nhạy cảm của một chủ thể xác định mức tin cẩn cần thiết để truy cập. Để truy cập một đối tượng nào đấy, chủ thể phải có một mức độ nhạy cảm tương đồng hoặc cao hơn mức độ của đối tượng yêu cầu. + Xuất và nhập dữ liệu (Data import and export): Kiểm soát việc nhập thông tin từ hệ thống khác, và xuất thông tin sang hệ thống khác (bao gồm cả các máy in), là một chức năng trọng yếu trong các hệ thống sử dụng kiểm soát truy cập bắt buộc. Nhiệm vụ của việc xuất, nhập thông tin phải đảm bảo các nhãn hiệu nhạy cảm được giữ gìn một cách đúng đắn, các thông tin nhạy cảm phải được bảo vệ trong bất kỳ tình huống nào. Các phương pháp thường dùng để áp dụng kiểm soát truy cập bắt buộc là: kiểm soát truy cập dùng theo luật (Rule Base Access Control) và kiểm soát truy cập dùng lưới (Lattice Base Access Control). + Kiểm soát truy cập dùng theo luật: Định nghĩa thêm điều kiện cụ thể đối với việc truy cập một đối tượng, nhằm quyết định cho phép hay từ chối yêu cầu truy cập, bằng cách đối chiếu: nhãn hiệu nhạy cảm của đối tượng, nhãn hiệu nhạy cảm của chủ thể + Kiểm soát truy cập dùng lưới (lattice): Mô hình lưới là một cấu trúc toán học, nó định nghĩa giá trị cận dưới lớn nhất và cận trên nhỏ nhất cho những cặp nguyên tố, chẳng hạn như cặp nguyên tố gồm 1 chủ thể và 1 đối tượng. 2.3 MỘT SỐ KĨ THUẬT KIỂM SOÁT TRUY NHẬP. 2.3.1 Hệ thống nhận dạng và xác thực. Tiền đề của hệ thống an ninh là nhận dạng đúng người dùng. Với mục tiêu đó, cơ chế xác thực người dùng qua một vài sở hữu riêng hoặc liên kết các mô hình. Hệ thống xác thực dùng thông tin để nhận biết người dùng: + Hệ thống mật khẩu: Người dùng được nhận dạng qua chuỗi kí tự bí mật, chỉ riêng người dùng và hệ thống biết. + Hệ thống hỏi - đáp: Người dùng được nhận dạng qua việc trả lời các câu hỏi mà hệ thống đưa ra. Câu hỏi là khác nhau cho mỗi người dùng, và thường là các hàm toán học. + Hệ thống xác thực kép (bắt tay): Hệ thống tự giới thiệu với người dùng, người dùng tự xác thực lại với hệ thống. Việc xác thực của hệ thống xuất hiện qua thông tin chỉ người dùng biết, có thể là ngày, giờ của phiên làm việc cuối cùng. Người dùng xác thực là mật khẩu. Hệ thống xác thực dùng thông tin sở hữu của người dùng: Về cơ bản là hệ thống thẻ: Thẻ từ chứa mã vạch hoặc mã từ hoặc bộ vi xử lí. Việc xác thực xuất hiện lúc chấp nhận thẻ đưa vào đọc, đôi khi kèm theo mã bí mật. Hệ thống xác thực dùng thông tin cá nhân của người dùng: Thông tin cá nhân là những đặc thù chỉ có của người dùng như vân tay, giọng nói, ảnh lưới võng mạc, . Những thông tin này được sử dụng để nhận dạng người dùng, hiện nay có các hệ thống sau: + Hệ thống fax- máy tính: ảnh của người dùng được lưu trữ, nhận dạng bằng cách đối chiếu người với ảnh lưu trữ hiện trên màn hình. + Hệ thống vân tay: nhận dạng theo kết quả so sánh dấu vân tay người dùng với vân tay lưu trữ. + Hệ thống ghi âm: giọng nói của người dùng được đối chiếu với mẫu lưu trữ. + Hệ thống áp lực tay: nhận dạng trên cơ sở áp lực chữ kí hoặc chữ viết trên thiết bị phù hợp. + Hệ thống lưới võng mạc: nhận dạng người dùng bằng cách kiểm tra lưới võng mạc trong đáy mắt. Các hệ thống trên có thể được dùng độc lập hoặc phối hợp nhiều hệ thống cùng một lúc tuỳ thuộc vào mức độ an ninh cần thiết. Các thông tin cá nhân, bằng cách thông thường người khác không có được, tuy nhiên với người chuyên nghiệp thì các thông tin này có thể được lấy và lưu trữ trước, sau đó làm giả, mà máy không phát hiện được. Các hệ thống này có mức độ an ninh cao hơn so với các hệ thống trước đó, vì phức tạp trong so sánh giữa các đặc điểm riêng được lưu trữ với các đặc điểm đó trên thực tế. Việc ứng dụng cũng gặp khó khăn, qua nghiên cứu cho thấy tỉ lệ từ chối người dùng cao. Ngoài ra, khi có sự thay đổi từ chính người dùng đó với các thông tin đã đăng kí (khi người dùng gặp tai nạn hoặc sự cố làm sai lệch thông tin), thì máy cũng không chấp nhận họ. Mặt khác, việc không uỷ quyền cho người khác được khi gặp sự cố, dẫn đến có thể mất thông tin vĩnh viễn. Bên cạnh đó, hệ thống trên có chi phí cao, nên chỉ được dùng trong những trường hợp bảo mật đặc biệt. 2.3.2 Tường lửa (Firewall). 2.3.2.1 Khái niệm tường lửa. Firewall là một kĩ thuật được tích hợp vào hệ thống, để chống lại sự truy cập trái phép, nhằm bảo vệ các nguồn tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Firewall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dich vụ bên trong, những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong. 2.3.2.2 Phân loại tường lửa. Có 2 loại tường lửa chính là: Ủy quyền ứng dụng (Application proxies). Cổng lọc gói tin (Packet filtering gateway). 2.3.2.3 Nhận dạng tường lửa. Hầu hết các Firewall đều có các dạng đặc trưng. Chỉ cần thực hiện một số thao tác như quét cổng, lập cầu lửa, nắm giữ biểu ngữ đơn giản là những kẻ tấn công có thể xác định được loại tường lửa, phiên bản, và qui tắc của hầu hết các tường lửa trên mạng. Việc nhận dạng này là rất quan trọng, vì khi đã biết các thông tin đích xác về tường lửa, thì có thể khai thác được các điểm yếu của chúng. 1) Quét trực tiếp: kĩ thuật “Noisy”. Cách đơn giản nhất để tìm kiếm tường lửa là quét các cổng ngầm định cụ thể. Một số tường lửa sẽ tự định danh duy nhất bằng các đợt quét cổng miễn là ta cần biết nội dung cần tìm kiếm. Ví dụ ProxyServer của Microsoft thường lắng nghe trên các cổng TCP 1080 và 1745. Quá trình tìm kiếm các kiểu tường lửa trên là không khó đối với bộ quét cổng như nmap: nmap -n -vv –p0 -p256,1080,1745 192.168.50.1 - 60.254 Dùng tham số –p0 để vô hiệu hóa tính năng “ping” ICMP trước khi quét. Điều này là quan trọng vì hầu hết các Firewall không đáp ứng các yêu cầu “dội” ICMP. Hacker có thể dùng nhiều kĩ thuật để thoát khỏi sự giám sát của ta, bằng cách gửi ngẫu nhiên hóa các gói tin, các cổng đích, các địa chỉ đích, các cổng nguồn và thực hiện các đợt quét nguồn có phân phối. Cách phòng chống: Ta cần phải phong tỏa các kiểu quét này tại các bộ định tuyến biên, hoặc dùng công cụ phát hiện đột nhập nào đó. Nếu sử dụng Real Secure 3.0 để phát hiện tiến trình quét cổng, thì phải nâng cao độ nhạy cảm của nó và phải sử dụng các thay đổi sau: - Chọn Network Engine Policy. - Tìm “ Port scan” và chọn Option. - Thay đổi Ports thành 5 ports. - Thay đổi Delta thành 60 seconds. Để ngăn chặn các đợt quét cổng Firewall, ta cần phong tỏa các cổng này trên các router đứng trước Firewall. 2) Rà tuyến đường (Router tracking) Một cách âm thầm và khôn khéo hơn để tìm tường lửa đó là dùng “Tracerouter”. Chúng ta có thể sử dụng traceroute trên môi trường UNIX và tracert.exe trên môi trường Windows NT, để tìm đường đến mục tiêu. Traceroute của LINUX có tùy chọn I, để thực hiện việc rà đường bằng cách gửi đi các gói ICMP: [ sm@atsunami sm] $ traceroute - I www.yourcompany.com traceroute to www.yourcompany.com ( 172.17.100.2 ) , 30 hops max, 140 byte packets 1 attack-gw ( 192.168.50.21) 5.801 ms 5.105 ms 5.445 ms 2 gw1.smallisp.net ( 192.168.51.l) 3 gw2.smallisp.net ( 192.168.52.2) ..... 13 hssi.bigisp.net ( 10.55.201.2 ) 14 seriall.bigisp.net ( 10.55.202.l) 15 www.yourcompany.com( 172.29.11.2) 3) Nắm giữ biểu ngữ (Banner grabbing) Quét cổng là biện pháp hiệu quả trong việc nhận dạng firewall, nhưng chỉ có Checkpoint và Firewall của Microsoft nghe trên các cổng ngầm định, còn hầu hết các tường lửa thì không như vậy, do đó việc phát hiện cần phải suy diễn. Nhiều tường lửa phổ biến thường thông báo sự hiện diện của mình mỗi khi có kết nối tới chúng. Nó sẽ công bố chức năng của mình với tư cách một tường lửa, một số sẽ quảng cáo kiểu và phiên bản của mình. Ví dụ khi chúng ta dùng chương trình netcat để kết nối tới một máy tính nghi ngờ có tường lửa qua cổng 21 (FTP), ta có thể tìm thấy một số thông tin: C:\TEMP>nc -v -n 192.168.51.129 21 (unknown) [192.168.51.129] 21 (?) open 220 Secure Gateway FTP sever ready Biểu ngữ "Secure Gateway FTP sever ready" là dấu hiệu tường lửa cũ của Eagle Raptor. Để chắc chắn hơn ta có thể kết nối tới cổng 23 (telnet), sẽ xác nhận tên bức tường lửa là “Eagle” : C:\TEMP>nc -v -n 192.168.51.129 23 (unknown) [192.168.51.129] 23 (?) open Eagle Secure Gateway.Hostname : Cuối cùng nếu vẫn chưa chắc chắn, ta có thể sử dụng netcat với cổng 25 (SMTP) và nó sẽ báo cho ta biết nó là gì: C:\TEMP>nc -v -n 192.168.51.129 25 (unknown) [192.168.51.129] 25 (?) open 421 fw3.acme.com Sorry, the firewall does not provide mail service to you Trong các ví dụ trên, các thông tin thu được từ biểu ngữ có thể được các hacker sử dụng để tấn công Firewall. Biện pháp phòng chống: Cần phải giảm thiểu các thông tin biểu ngữ quảng cáo, có thể thay đổi các tập tin cấu hình biểu ngữ. 4) Định danh cổng (Port indentification) Một số Firewall có dấu hiệu nhận dạng, có thể được dùng để phân biệt với các Firewall khác, bằng cách hiện ra một sêri các con số. Ví dụ Check Point sẽ hiển thị một sêri con số khi kết nối tới cổng TCP 257 quản lí SNMP. Sự hiện diện của các cổng từ 256 tới 259 trên hệ thống, chính là dấu hiệu báo trước sự có mặt của CheckPoint Firewall-1, ta có thể thử như sau: [ root@bldg_043 # nc -v -n 192.168.51.1 257 (UNKNOWN) [ 192.168.51.1] 257 ( ? ) open 30000003 [ root@bldg_043 # nc -v -n 172.29.11.19l 257 (UNKNOWN ) [ 172.29.11.191] 257 ( ? ) open 31000000 Cách phòng chống: Để ngăn cản các tuyến nối với cổng TCP 257, phải phong tỏa chúng tại các bộ định tuyến thượng nguồn. Một Cisco ACL đơn giản dưới đây có thể từ chối sự tấn công của hacker: access -list 101 deny tcp any any eq 257 log ! Block Firewall- l scans 2.3.2.4 Những hạn chế của Firewall. Firewall chỉ ngăn chặn được sự xâm nhập của những thông tin không mong muốn, nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn cuộc tấn công, nếu cuộc tấn công này không đi qua nó. Chẳng hạn nó không thể chống lại cuộc tấn công từ một đường dial- up, hoặc rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall không thể chống lại cuộc tấn công bằng dữ liệu (data driven attack). Khi một chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng, nó sẽ hoạt động tại đây. Firewall không làm nhiệm vụ quét virus trên dữ liệu chuyển đến nó. 2.3.3 Mạng riêng ảo (Virtual Private Network - VPN). 2.3.3.1 Khái niệm mạng riêng ảo. Mạng riêng ảo là mạng dành riêng, để kết nối các máy tính của các tổ chức với nhau thông qua mạng Internet công cộng. Công nghệ VPN chỉ rõ 3 yêu cầu cơ bản: Cung cấp truy nhập từ xa tới tài nguyên của một tổ chức mọi lúc, mọi nơi. Kết nối các chi nhánh văn phòng với nhau. Kiểm soát truy nhập của khách hàng, nhà cung cấp và các thực thể bên ngoài tới những tài nguyên của một tổ chức. 2.3.3.2 Các mô hình VPN. Truy cập từ xa: Các truy cập từ xa của VPN đảm bảo các kết nối được bảo mật, mã hóa giữa mạng riêng của công ty với các nhân viên qua nhà cung cấp thứ ba. Có 2 kiểu truy cập từ xa VPN: + Khởi tạo bởi phía khách (Client Initiated): Người dùng từ xa sử dụng phần mềm VPN client, để thiết lập một đường hầm an toàn tới mạng riêng, thông qua ISP trung gian. + Khởi tạo bởi NAS (Network Access Server Initiated): Người dùng từ xa quay số tới ISP, NAS sẽ thiết lập đường hầm an toàn tới mạng riêng cần kết nối. Intranet VPN: Xây dựng mạng riêng ảo, để kết nối các mạng cục bộ vào một mạng riêng thống nhất. Chẳng hạn như công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm sử dụng mạng LAN. Extranet VPN: Khi công ty có mối quan hệ mật thiết với công ty khác, họ có thể sử dụng mô hình mạng Extranet VPN để kết nối kiểu mạng LAN với LAN, cho phép công ty đó làm việc trong môi trường có chia sẻ tài nguyên. 2.3.4 Hệ thống phát hiện và ngăn chặn xâm nhập. 2.3.4.1 Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS). Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở mức độ cao hơn. IDS cung cấp cho việc bảo vệ bằng cách trang bị cho ta thông tin về cuộc tấn công. IDS không tự động cấm các cuộc tấn công hoặc là ngăn chặn kẻ khai thác một cách thành công. Với sự phát triển mới nhất của IDS tức là hệ thống ngăn chặn xâm nhập, thì nó có thể ngăn chặn các cuộc tấn công khi nó xảy ra. Network IDS (NIDS)- là hệ thống đọc gói tin ngầm (sniffer), và Host IDS (HIDS)- phân tích log, kiểm tra tích hợp. Sự khác nhau chủ yếu giữa NIDS và HIDS là dữ liệu mà nó tìm kiếm. Trong khi NIDS nhìn vào toàn cảnh các chuyển dịch trên mạng, thì HIDS quan sát các host, hệ điều hành và các ứng dụng. 1) HIDS: Dùng để kiểm soát lưu lượng thông tin ở từng host, có khả năng tạo ra các riêng biệt cho từng loại máy tính, có thể giám sát các kích thước của file, checksum.... Chức năng của HIDS: Giám sát Logfile: Một HIDS đơn giản nhất là thiết bị giám sát logfile, nó cố gắng phát hiện những xâm nhập bằng cách phân tích các log sự kiện của hệ thống. Giám sát logfile là một nhiệm vụ của hệ thống IDS dựa trên host bởi chúng thực hiện chức năng giám sát chỉ trên một máy. Tuy nhiên nó có thể giám sát trên nhiều host. Thiết bị giám sát logfile nổi tiếng là swatch (Simple Watcher) (Xem ). Hầu hết các phần mềm phân tích log chỉ quét theo định kì, thì swatch quét tất cả các đầu vào log và tạo cảnh báo theo thời gian thực. Giám sát logfile được coi là hệ thống phát hiện xâm nhập theo cách đặc biệt. Log cũng chứa nhiều thông tin không trực tiếp liên quan đến sự xâm nhập b) Giám sát tính toàn vẹn: Một công cụ giám sát tính toàn vẹn sẽ nhìn vào cấu trúc chủ yếu của hệ thống để tìm sự thay đổi. Dù có giới hạn nhưng nó có thể thêm vào các lớp bảo vệ cho hệ thống phát hiện xâm nhập. Giám sát toàn vẹn phổ biến nhất là Tripwire ( Tripwire nên được cài đặt trên một hệ thống khi nó còn nguyên bản từ nhà sản xuất, với những ứng dụng cần thiết nhất trước khi kết nối với mạng. Mấu chốt để sử dụng kiểm tra toàn vẹn hệ thống cho thiết bị phát hiện xâm nhập đó là xác định ranh giới an toàn, và điều này chỉ có thể được thiết lập trước khi hệ thống được kết nối với mạng. Nếu không có trạng thái an toàn thì công cụ kiểm tra toàn vẹn bị hạn chế, vì hacker có thể đã giới thiệu những thay đổi của họ với hệ thống trước khi công cụ này hoạt động lần đầu. 2) NIDS NIDS có nhiệm vụ giám sát toàn bộ hoạt động của một phân đoạn mạng hay một mạng con. Điều trên thực hiện được là nhờ vào việc thay đổi chế độ trên card giao tiếp mạng (NIC) của NIDS. Để giám sát toàn bộ lưu lượng trên một phân đoạn mạng, hệ thống phân đoạn mạng sẽ chuyển toàn bộ các gói tin này vào stack để phân tích chúng. Chế độ làm việc này gọi là “hỗn độn” (không phân loại). Trong chế độ này, toàn bộ gói tin sẽ bị nghe trộm trên tất cả các giao tiếp trong phân đoạn mạng. Chức năng của NIDS: + Nhận dạng dấu hiệu (signature matchers): IDS phát hiện các cuộc tấn công dựa trên CSDL về dấu hiệu tấn công. Khi hacker tìm cách khai thác lỗ hổng đã biết thì, IDS cố gắng đưa lỗi đó vào CSDL của mình. + Phát hiện những dấu hiệu bất thường: Phát hiện dấu hiệu bất thường liên quan đến việc thiết lập một nền móng cơ bản của những hoạt động bình thường của hệ thống hoặc các hành vi trên mạng, sau đó cảnh báo cho ta thấy sự chệch hướng xuất hiện. Sự khác biệt giữa NIDS và HIDS là HIDS chỉ bảo vệ phân đoạn mà nó nằm bên trong đó, chứ không phải toàn bộ mạng con. Ngoài ra HIDS có thể nhìn thấy lưu lượng thông tin trong một hệ thống, mà hệ thống này chưa từng đi ra ngoài mạng, điều này thì NIDS không thể nhận biết được. 2.3.4.2 Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS). Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục. IPS ngăn chặn cá